我寫在我blog上 http://www.wretch.cc/blog/takiotosi&article_id=10561764 這是上次學校辦教育訓練教的方式... 開機後 不要開任何網路連線軟體(如msn , BT等等) 接著連線(我是ADSL) 開始→執行→cmd 進入DOS模式 然後打 netstat -ano 會出現下圖 http://www.wretch.cc/album/show.php?i=takiotosi&b=9&f=1108225314&p=0 正常來說在Foreign Address的那邊 應該是沒有任何IP都是0的狀態 如果說你一開電腦沒有開任何連線軟體確有看到IP在下面 如圖(我開msn後) http://www.wretch.cc/album/show.php?i=takiotosi&b=9&f=1108225318&p=4 表示可能是木馬正在往外連東西 而Foreign Address可以上網查那個IP是註冊在哪 接著對照後面的PID的號碼 然後開啟工作管理員看PID http://www.wretch.cc/album/show.php?i=takiotosi&b=9&f=1108225319.jpg&p=5 一般工作管理員似乎沒有開啟PID 開啟方式如下圖 http://www.wretch.cc/album/show.php?i=takiotosi&b=9&f=1108225316.jpg&p=2 http://www.wretch.cc/album/show.php?i=takiotosi&b=9&f=1108225317.jpg&p=3 對照PID碼後可以找出是哪個執行序在作用 可以先強制把他關閉 接著再想辦法找出那隻馬在哪嚕... 然後再說說我的習慣...當收到一個檔案或是下載到覺得不太放心時 我都先開筆記本 然後把他丟進去 會看到一堆亂碼...接著ctrl+f 搜尋http 一般來說如果這檔案內含木馬的話 我們會搜到有網址在裡面 (當然有些程式本身要連上網的會有網址，我是指某些不明的軟體) 大概就這些嚕...其實還蠻多東西的..這只是簡易版Orz -- 最珍貴的禮物 是願意給愛的人自己的時間 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.166.60.48 → doomramboo:或惡意程式在往外連時都會列出來 ※ 編輯: doomramboo 來自: 218.166.51.244 (11/05 18:18)